檢視次數:

設定 Securonix SIEM 整合,以使 Securonix 能夠從 TrendAI Vision One™ 收集警報、事件和審計日誌。

步驟

  1. TrendAI Vision One™ 控制台中,獲取端點 URL 和驗證令牌。
    1. 前往 Workflow and AutomationThird-Party Integrations
    2. 找到並按一下「Securonix SIEM」卡片。
    3. 從以下欄位獲取數值。
      • 點選 dddna_summary_detection_copy=GUID-4DE35BE5-57A5-4919-BF9C-5EC95F9CA8FD=1=zh-tw=Low.png 以複製Endpoint URL
      • 點選Generate並複製Authentication token
  2. 在 Securonix 平台上配置並保存 TrendAI Vision One™ 的設置憑證。
    如需有關設定的詳細資訊,請參閱 Securonix 雲端文件
    1. Unified Defense SIEM中,依次選擇功能表Add DataActivity
    2. 點選 Add DataAdd Data for Supported Device Type
    3. Resource Type Information視窗中,輸入以下數值。
      設定
      說明
      Vendors
      TrendAI™ 公司
      Resource Types
      TrendAI Vision One™ - 警示:[trendmicroxdr] [JSON]
      Parser Name
      SCNX_TRENDM_TRENDMICROVISIONONEALERT_CEDR_TRE_JSO_COMM
    4. 從清單中選擇Ingester
    5. Connection Details視窗中,配置以下設定。
      設定
      說明
      Log Types
      選擇以下其中一項:
      • 警報 V3
      • 稽核日誌 V3
      Base URL
      將從 TrendAI Vision One™ 控制台複製的端點 URL 貼上。
      Token
      請貼上從 TrendAI Vision One™ 主控台複製的驗證權杖。
    6. 點選Save & Next
    7. Parser Management 視窗中,點選 Save & Next
  3. 在 Securonix 平台上新增關聯規則。
    1. 點選 Add ConditionAdd New Correlation Rule
    2. 給相關性規則一個描述性的名稱。
    3. Correlate events to user using rule 表格中的每一列指定一個值。
    4. 點選 儲存Save & Next
    5. 策略違規 視窗中,點選 Save & Next
  4. 執行整合以將 TrendAI Vision One™ 儲存為 Securonix 平台上的資料來源。
    1. Job Scheduling Information 視窗中,選擇 Do you want to run job Once?
    2. 點選Save & Run
      Securonix 開始從 TrendAI Vision One™ 收集事件資料。Securonix 只能收集連接到 TrendAI Vision One™ 之後生成的資料。新資料開始出現之前,您可能需要等待一段時間。